Gesetzesänderungen: Berufsrecht – endlich zeitgemäß!

Auftragsdatenverarbeitung vs. Auftragsverarbeitung

Trennlinie

Auftragsdatenverarbeitung vs. Auftragsverarbeitung

Hannover im Mai 2017

Bisher ging die Beauftragung eines Dienstleisters, der personenbezogene Daten einsehen konnte, die einem Berufsgeheimnis unterliegen, mit einem hohen bürokratischen Aufwand einher. Durch eine geplante Änderung des Berufsrechts wird es hier demnächst voraussichtlich Erleichterungen geben.
Berufsgeheimnisträgern drohen neue Haftungsprobleme durch die Ablösung des Bundesdatenschutzge­setzes (BDSG) durch die Datenschutz-Grundverordnung (DS-GVO) und die Neuregelung der Auftragsdatenverarbeitung.

Ein Beitrag von Stephan Rehfeld, scope & focus Service-Gesellschaft mbH.

Nur Auftragsdatenverarbeitung, schon aufwendig genug!

Werden personenbezogene Daten zwischen einem Unternehmen und einem Auftragnehmer des Unternehmens ausgetauscht, so müssen aktuell die Regelungen des § 11 BDSG beachtet werden:

1. Es musste durch den Auftraggeber festgestellt werden, ob die personenbezogenen Daten des Auftraggebers beim Auftragnehmer ausreichend gegen Offenbarung, Vernichtung oder unbeabsichtigte Veränderung abgesichert sind,<p/>

2. es musste vor Vertragsbeginn zwischen Auftraggeber und Auftragnehmer ein umfangreiches Vertragswerk geschlossen werden (Vertrag zur Auftragsdatenverarbeitung) und<p/>

3. die Leistungen und die vom Subauftragnehmer zugesicherten Sicherungsmaßnahmen mussten durch den Auftraggeber regelmäßig

Beispielfälle, auf die die genannten Datenschutz-Regelungen anzuwenden sind:

  • Wartung der EDV-Systeme und des Netzwerks,
  • Wartung von Kopierern mit Speichereinheiten,
  • Betrieb und Wartung von TK-Anlagen,
  • Datenträgervernichtung (Papier, aber auch digital).
  • Hürde: Einwilligung und Informationspflicht

Das Einschalten eines Auftragnehmers durch eine Steuerkanzlei
und die damit regelmäßig einhergehende mögliche Offenbarung von Mandantendaten bei der Leistungserbringung ist nur möglich, wenn
die betroffenen Mandanten in eine Offenbarung ihrer Daten eingewilligt haben und diese Einwilligung auch schriftlich erfolgt ist (§ 4 Abs. 1 Satz 3 BDSG) und
der Mandant vorher informiert worden ist, gegenüber wem seine Mandantendaten möglicherweise offenbart werden. Bei dieser Informierung ist auf eine ausreichende Konkretheit zu achten.

In der Praxis ist die Schriftlichkeit der Einwilligung in die Offenbarung bereits ein Problem, da nicht mit allen Mandanten ein schriftlicher Mandatsvertrag vorliegt. Auf einen schriftlichen Mandatsvertrag wird zum Beispiel häufig bei privaten Steuererklärungen verzichtet.

Das Berufsrecht wird der wirtschaftlichen Wirklichkeit angepasst, endlich!

Durch das geplante Gesetz „zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ wird eine Beauftragung sogenannter mitwirkender Personen vereinfacht (§ 203 Abs. 3 StGB-E):

„(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse […] oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.“

Eine solche Vereinfachung der Beauftragung von Auftragnehmern bei der Leistungserbringung für Berufsgeheimnis­träger ist zu begrüßen und auch zeitgemäß. Die entsprechenden Vorschriften im jeweiligen Berufsrecht der rechts-, steuer- und wirtschaftsprüfenden Berufe werden ebenfalls angepasst werden.

Achtung, Auftragsdatenverarbeitung in der Datenschutz-Grundverordnung

Aktuell ist der Steuerberater im Verhältnis zu seinem Mandanten kein Auftragsdatenverarbeiter. Dies bedeutet, dass zwischen Steuerberater (Auftragnehmer) und Mandant (Auftraggeber)

  • kein Vertrag zur Auftragsdatenverarbeitung geschlossen werden muss,
  • der Steuerberater dem Mandanten keine Informationssicherheitsmaßnahmen zusichern muss und
  • der Steuerberater sich keinen Audits durch den Mandanten unterwerfen muss.

Durch die Neufassung des Datenschutzrechts mittels der Datenschutz-Grundverordnung ist noch nicht klar, ob der Steuerberater als Auftragsverarbeiter qualifiziert werden wird. Bisher galt das Konstrukt der Funktionsübertragung. Eine „Umquali­fizierung“ birgt neue Haftungsproblematiken für den Steuerberater, da sich ein Betroffener im Haftungsfall dann nicht nur an den eigentlichen Vertragspartner, sondern auch an den Auftragsverarbeiter direkt wenden kann. Hier ist politische
Arbeit der berufsständischen Organisationen gefordert, um eine solche Verschiebung des Haftungsanspruches zu vermeiden.